Sommige Linux, Raspberry PI en MQTT worden samen gepatched – en weer is er een IoT product voor interne implementatie of zelfs distributie klaar. Maar hoe zit het met de IT beveiliging?

Met hun ambities voor digitalisering ontwikkelen bedrijven dagelijks nieuwe producten en diensten. De nieuwe digitale sector biedt een enorm potentieel voor nieuwe oplossingen in verschillende industrieën. Het is eenvoudig om goedkope hardware te kopen en deze samen te voegen met vrij beschikbare open source-applicaties.

Het is eenvoudig voor te stellen dat veel van deze nieuwe producten en apparaten rechtstreeks op het internet zijn aangesloten of zelfs een brug van internet naar het interne netwerk van het bedrijf tot stand kunnen brengen. Bovendien is het algemeen bekend dat de verbindingspunten van openbare netwerken gevoelig zijn. Ze mogen alleen gebruikt worden door betrouwbare apparaten. Maar is dit vertrouwen terecht voor apparaten die alleen op basis van functionaliteit zijn gebouwd, zonder gebruik te maken van beveiligingsrichtlijnen of een beveiligingskader? Een vergelijking met functionele veiligheid is dan ook noodzakelijk. Tegenwoordig is het moeilijk voor te stellen dat een nieuw apparaat wordt ontwikkeld zonder een veiligheidsrisicoanalyse of door het gebruik van een beveiligingselement zonder bijbehorende certificeringen. Sterker nog standaarden en normen regelen hoe beveiligingscomponenten moeten worden ontworpen en ingezet. Binnen de informatietechnologie bestaan dergelijke voorschriften nog niet. Met “Security by Design” zijn vergelijkbare methoden bekend, maar deze moeten nog worden toegepast.

Een voorbeeld van hoe Security by Design is toegepast bij een IIoT product is de Edge Gateway van MB connect line. Het is gebaseerd op een gegevensdiode, die communicatie hardware-technisch alleen in één richting toelaat – van het veld tot het beveiligde net. Technisch gezien is het onmogelijk om vanaf de buitenkant contact te maken met de site om gegevens weg te nemen of te manipuleren. Het omgekeerde kanaal wordt elektrisch ontkoppeld en kan alleen worden geactiveerd voor configuratiedoeleinden via de sleutelschakelaar. Vanwege de echte hardware-gebaseerde ontkoppeling, zijn de gebruikelijke zwakke plekken van beveiligingshardware niet mogelijk: verkeerde configuratie door de gebruiker of beveiligingslacunes in de firmware van het apparaat.

schema mbXLINK

Een essentiële factor van het concept is dat de Edge Gateway zowel voor integratie in bestaande installaties als voor het inrichten in nieuwe installaties is. Dit betekent dat de apparaten flexibel zijn in de Fieldbus-interface (bijv. MPI, PROFINET, Modbus). Maar ook modulair in de communicatielaag naar het internet (bijvoorbeeld mobiele netwerk of WiFi). Als je vandaag de dag in klassieke fabrieken kijkt, zul je heel vaak genetwerkte, maar onbeschermde besturingssystemen vinden. Deze besturingssystemen waren oorspronkelijk niet ontwikkeld voor hoogwaardige netwerken en hadden de focus op de operationele besturingsfunctie. Dit vormt een hoog beveiligingsrisico, vooral als het gaat om het achteraf inbouwen van Industry 4.0 in bestaande systemen en de resulterende verbinding met internet. Vaak worden er bij deze fabrieken geen wijzigingen aangebracht.

De Edge Gateways kunnen eenvoudig geïntegreerd worden zonder dat de configuratie van het besturingssysteem of van de PLC gewijzig wordt. Voor deze bestaande systemen heeft u communicatieveldbussystemen nodig die latere integratie mogelijk maken, bijvoorbeeld Master-Master communicatie zoals MPI, Profibus of Modbus systemen. De connectiviteit van deze “oude” systemen is aan de orde, de opdracht is nu de connectiviteit met een cloud-systeem. De meeste van deze clouds (of clouddiensten) hebben zogeheten API’s en meestal interfaces zoals MQTT of OPC-UA. Voor het verbinden met deze clouddiensten is het heel gebruikelijk om de open source-toepassing Node-Red te gebruiken, die is gebaseerd op Node.JS runtime. Dit pakket wordt geleverd met een handige grafische interface en helpt om vooraf data van de veldbus te berekenen alvorens het te versturen naar de cloud.

Samen met Docker en Portainer is het een veilig kader om gegevens van de fabrieksvloer te verwerken en te sturen naar de cloud. Docker is een open platform voor ontwikkelaars en sysadmins om gedistribueerde applicaties te bouwen, te verzenden en uit te voeren, zowel op laptops als op VM’s van datacenters van de cloud. Portainer is een lichtgewicht gebruikersinterface waarmee u eenvoudig uw Docker host of Swarm cluster kunt beheren.

mbXLINK Docker Portainer

De Edge Gateway biedt talloze voordelen voor de gebruiker. Onafhankelijk van de locatie kan de gebruiker afzonderlijke machines bevragen en verbinden via een beveiligde verbinding om toegang te krijgen tot belangrijke gegevens zoals functie, productiviteit en gebruik. Via historiegegevens kunt u de beschikbaarheid van de betreffende machine in het dagelijkse / wekelijkse ritme controleren. Bovendien kunnen foutanalyses worden uitgevoerd op machines met een hoge downtime te identificeren. De oplossing is ook geschikt voor in-house applicaties om gegevens te verzamelen en veilig af te vragen via tablet of smartphone.

mbXLINK Node-Red

De softwarearchitectuur van de Edge Gateway bestaat uit de mbOS, een embedded Linux gebaseerd besturingssysteem. Bovenaan staat Docker & Portainer ter ondersteuning van 4 extra gebruikerscontainers en één Node-Red container van MB Connect Line. De gebruikerscontainers kunnen individuele gebruikerstoepassingen uitvoeren op basis van Linux en in gemeenschappelijke programmeertalen worden geschreven. Het krachtigste hulpmiddel is de Node-Red toepassing. Dit ondersteunt al verschillende interfaces naar de wereld zoals MQTT, OPC-UA, Twitter, Email en nog veel meer. Deze tool is gebaseerd op het idee hoe data stroomt, dus het heeft input- en output nodes. Tussen deze nodes kunt u bewerkingen zoals optellen en aftrekken bewerken om de gegevens te manipuleren. In ons gebruiksvoorbeeld lezen we gegevens via onze datadiode van de veldbus en kunnen deze eenvoudig naar de cloud verzenden.

Meer informatie mbXLINK Edge IoT Gateway